MGC token钱包是怎么“赔钱”的？

近日，一款名为MGC令牌的“去中心化”数字资产钱包疑似跑路，大量用户反映账户内资金被盗。

目前，关于MGC的微博和文章满天飞。他们大多专注于描述用户偷了多少硬币，以及黑客将钱收集到了哪个地址。这里不再赘述。

在本文中，我们只从技术层面给大家简单一窥MGC令牌这种“去中心化”的数字资产钱包应用是如何导致用户“赔钱”的。

首先我们来看一下MGC官网发布的宣传信息：

2022蓑衣网小编

在官方宣传文案中，我们看到了去中心化、多重加密安全存储技术、强大的防盗技术、最大化用户数字资产的安全性等等一些关键词。

但是实际情况是怎样的呢？

我们逆向了MGC令牌钱包申请的APK安装包，发现里面只封装了H5页面。关键主机信息如下：

显然，所谓的去中心化应用，不过是业务核心代码运行在中心化服务器上，与去中心化完全无关。

我们直接用浏览器再执行一遍整个钱包创建过程：

这一步我们抢到了包，得到了App的图片服务域名：lianjiedu . com

我们得到了助记符。见证奇迹的时候到了：

界面显示钱包私钥直接从集中式服务器发出！

这一步真的是最骚的。看到这里，你还不知道钱是怎么丢的？

私钥都是别人给你的。如果用户省了钱，就相当于给他钱了！

相当于他有你家的钥匙。他可以自由来去！

更何况敏感数据都是明文传输，还吹嘘“多重加密安全存储技术，强大的防盗技术”。E mmmmmm ~ ~

有了域名和主机，我们就可以简单的追查到背后团队的线索：

更多的信息会交给受害用户和

[x]在区块链的世界里，私钥意味着对资产的绝对控制。所以选择一个恶意的钱包应用来为你生成私钥和管理资产是非常重要的。[x]